Citrix网关、Citrix虚拟应用和桌面

概述

Citrix网关、Citrix办公空间它提供了无数独特的集成，可增强安全性和用户体验。思杰网关(Citrix Gateway)

Citrix网关支持对Citrix工作空间的加密和上下文访问(身份验证和授权)。其Citrix ADC支持的负载均衡可在Citrix虚拟应用程序和桌面服务器之间分配用户流量。Citrix网关还可加速,优化流量并提供对流量的可见性,这对于确保Citrix虚拟应用程序和桌面部署中的最佳用户性能非常有用。

思杰工作空间

• (nFactor) (nFactor) (nFactor
• 上下文授权-根据用户、位置和设备属性限制应用程序和桌面的可用性
• Citrix HDX
• 端到端监控 — 确定影响用户绩效的延迟和分类问题的根源
• 自适应网络传输 — 动态响应不断变化的网络状况，提供卓越的用户体验
• 最佳路由 — 始终从本地网关启动应用程序和桌面，确保更好的用户体验
• 自定义可用性监视器——对店面和交付控制器服务器上运行的后端服务提供深入的应用程

概念架构

Citrix网关是一种强化设备(物理或虚拟),它使用基于标准的SSL / TLS加密代理和保护所有Citrix工作区流量。Citrix网关。这将Citrix网关置于组织的安全内部网络和互联网(或任何外部网络)之间。

(1)。但是,可以为需要双跳DMZ的更复杂的部署部署多个Citrix网关设备(图2)。

图1:在单个DMZ中部署了Citrix网关的虚拟应用程序和桌面

一些组织使用多个防火墙或保护其内部网络。。

2:虚拟应用和桌面

Citrix管理员可以在双跳DMZ中部署Citrix网关设备,以控制对运行Citrix虚拟应用程序和桌面的服务器的访问。在双跳部署中，安全功能在两台设备之间拆分。

第一个DMZ中的Citrix网关处理用户连接并执行安全功能,例如加密,身份验证和访问内部网络中的服务器。

tecrix网关。tecrix网关。tecrix网关。此Citrix网关使HDX流量能够遍历第二个DMZ以完成用户与服务器场的连接。第一个DMZ中的Citrix网关与内部网络中的安全票证颁发机构(STA)之间的通信也可通过第二个DMZ中的Citrix网关进行代理。

在部署了多个店面和交付控制器服务器的企业中,Citrix建议使用Citrix ADC设备对服务进行负载平衡。一台虚拟服务器对所有店面服务器进行负载平衡,另一台虚拟交付控制器对应用程序智能运行状况监控可确保只有完全正常运行的服务器才会被标记为可

为全局服务器负载平衡(GSLB)配置的Citrix ADC设备可以在数据中心之间平衡Citrix工作区负载。GLSB会将用户请求定向到最近或性能最佳的数据中心,或者在出现中断时将用户请求引导到仍然存在的数据中心。【中文译文】:GSLB。

在图3中,ADC使用指标交换协议(MEP)和DNS基础架构将用户连接到最符合管理员设定的条件的数据中心。这些条件可以指定负载最少、最近或最快的数据中心来响应请求。

图3:虚拟应用程序和桌面

n因子(nFactor)

Citrix网关为所有应用程序整合了远程访问身份验证基础架构,无论是在数据中心,云中还是应用程序作为SaaS应用程序交付。思杰网关

• 访问所有应用程序的单点
• 所有应用程序的安全访问管理、精细且一致的访问控制
• 提高工作效率的更好的用户体验
• 提高安全性的多重身份验证

图4:Citrix网关

Citrix网关身份验证整合了用户和组的本地和远程身份验Citrix网关包括对以下身份验证类型的支持。

• 本地
• ldap (ldap)
• 半径
• SAML
• TACACS +
• 客户端证书身份验证（包括智能卡身份验证）

Citrix网关还支持使用半径服务器配置的多因素身份验证解决方案,如RSA SecurID,金雅拓Protiva(泰雷兹),双核(思科)和仆(阿拉丁)。

图5:Citrix网关因子

n因子

Citrix网关通过真正的多因素功能扩展了双因素身份验证,并为管理员提供了进行身份验证,授权和审例如,使用nFactor身份验证可以动态登录表单和失败时的操作。Citrix网关

• 双重身份验证，要求用户通过使用两种类型的身份验证登录
• 设置身份验证优先级级别的级联身份验证

如果Citrix网关部署具有多个身份验证服务器,则管理员可以设置身份验证策略的优先级。优先级决定了身份验证服务器验证用户凭据的顺序。管理员配置级联时，系统会遍历每个身份验证服务器以验证用户的凭据。

n因子(factor)。这些流程可能很简单，也可以使用其他身份验证服务器与更复杂的安全要求相结合。Citrix网关

1. 动态用户名和密码选择:传统上,Citrix客户端(包括浏览器和工作区应用程序)使用Active Directory(广告)密码作为第一个密码字段。【中文译文】但是,为了保护广告服务器免受暴力攻击和锁定攻击,客户可以要求首先验证第二个因素(例如OTP)。nFactor，因子，因子，因子，因子
2. 多租户身份验证终端节点:一些组织对证书和非证书用户使用不同的Citrix网关登录点用户使用自己的设备登录时,他们的访问级别可能因Citrix网关而异,具体取决于所使用的设备。Citrix网关可以满足同一登录点上的不同身份验证需求,从而降低复杂性并改善用户体验。
3. 基于组成员资格的身份验证:某些组织从广告服务器获取用户属性,以确定身份验证要求,这些要求可能因个例如,组提取可用于确定用户是员工还是供应商,并提供适当的第二因素身份验证。

端点分析扫描

■■■■■■■■■■■■■■■■■■思杰网关(Citrix Gateway)“”“”“”“”“”“”“”“”

当用户设备尝试通过Citrix网关设备访问Citrix工作空间时,会在授予访问权限之前对设备进行扫描以确保合规性。例如,环保局可用于检查操作系统,防病毒,网页浏览器,特定进程,文件系统或注册表项以及用户或设备证书等参数。

管理员可以使用OPSWAT EPA引擎扫描和使用客户端安全引擎进行系统扫描来配置两种类型的EPA扫描。【中文翻译】:这些检查分别查找特定供应商提供的特定产品、特定类别中的供应商或所有供应商和产品的某个类别。

苹苹机，苹苹机，苹苹机。设备证书可以在nFactor中配置为EPA组件、管理员可以根据设备证书身份验证有选择地允许或阻止对公司内部网资源的访问。

(SmartAccess)

SmartAccess (SmartAccess)例如，当用户从受管或非受管设备进行连接时，可以分别启用或禁用敏感的人力资源应用程序。

http://www.smartaccess, http://www.smartaccess, http://www.smartaccess。http://www.chinac.cn/cn/或http://www.chinac.cn/cn/或http://www.chinac.cn/cn/或http://www.chinac.cn/cn/或http://www.chinac.cn/cn/。同样,SmartAccess扫描可用于识别连接到计算机的特定外围设备,并显示需要该设备的应用程序。

SmartAccess; Citrix;思杰工作室(Citrix Studio)在图6中,用户使用受管设备通过Citrix网关登录Citrix工作区并通过合规性扫描。自扫描通过以来,关联的Citrix网关虚拟服务器和会话策略将触发Citrix工作室策略以启用对应用程序的访问。

6:

在图7中,同一用户使用个人设备通过Citrix网关登录到Citrix工作区,但无法通过合规性扫描。。

7:

SmartAccess、SmartControl

Citrix管理员还可以根据用户连接到Citrix网关的方式修改Citrix HDX连接行为。一些示例包括禁用客户端驱动器映射、禁用对特定应用程序和桌面的访问以及禁用打印访问权限。

在图8中,用户使用个人设备通过Citrix网关登录到Citrix工作区,但未通过合规性扫描。思杰网关(Citrix Gateway)使用SmartAccess,交付控制器强制执行扫描结果并禁止剪贴板访问和客户端驱动器映射。

8:

Citrix网关(Citrix Gateway)【中文译文】

【中文译文】

智能控制系统(SmartControl)。客户安全策略可能要求甚至在用户获得公司网络访问权限之前阻止对资源的访问。SmartControl可用于在Citrix网关上阻止或允许某些组件,例如打印机访问,音频重定向和客户端设备驱动器重定向。

SmartAccess、SmartControl、SmartControl、SmartAccess、Citrix Gateway、Citrix Studio、Citrix Gateway、Citrix Studio、Citrix Gateway、Citrix Studio。当管理员想要为整个场做出访问策略决策时,他们可以在Citrix网关上使用适用于整个场的SmartControl。一个区别是,SmartAccess允许管理员控制已发布图标的可见性,而SmartControl则不能。10 SmartAccess SmartControl

图10:SmartAccess、SmartControl

SmartControl策略旨在不启用任何类型的访问,如果个别交付控制器级别禁止访问。这些选项是默认使用交付控制器级别的策略设置或禁止某个访问,即使交付控制器允许访问也是如此。SmartAccess、SmartControl、SmartAccess、SmartControl。SmartControl:智能控制

• ◆◆◆◆◆◆◆◆◆◆
• “”“”“”“”“”“
• 接收端HTML5 http://www.qqqq.com
• 客户端剪贴板重定向——将客户端剪贴板内容重定向到的共识
• 中文名称:http://www.chinesewordword.com (www.chinesewordword.com
• 陆基-陆基
• 我的意思是，我的意思是我的意思是我的意思是我的意思
• 多流 — 允许或禁用多流
• 陆基-陆基-陆基-陆基

【翻译】

Citrix HDX、Citrix、Citrix、Citrix、Citrix借助Citrix工作区应用程序中的HDX引擎和HDX协议,Citrix HDX允许用户即使在具有挑战性的网络条件下也能与资源进行无缝交互。

最近对HDX的优化是基于Citrix UDP的可靠传输协议,称为“开明的数据传输(美国东部时间)”。美国东部时间速度更快,改善了应用程序交互性,并且在具有挑战性的长途广域网和互联网连接中更具互动性。“”“”“”“”“”“”“

美国东部时间建立在UDP之上,可提高所有ICA虚拟通道的数据吞吐量,包括Thinwire显示远程处理,文件传输(客户端驱动器映射),打印和多媒体重定向。【中文翻译】:中文翻译:中文翻译:Citrix网关支持美国和数据报传输层安全性(迪泰),必须启用该安全性才能加密EDT使用的UDP连接。

图释11:hdx

观看此视频了解更多：

(HDX Insight)

Citrix Gateway虚拟应用和桌面软件。使用Citrix应用程序交付管理(ADM)、管理员可以查看实时客户端和网络延迟指标,历史报告,端到端性能数据,并排查性能问题。

HDX Insight。例如,用户在访问Citrix虚拟应用程序和桌面时可能会遇到延迟。为了确定问题的根本原因,管理员可以使用HDX洞察力来分析WAN延迟,数据中心延迟和主机延迟。HDX Insight (HDX Insight)

中国科学院院士、院士、院士、院士。此信息对于帮助管理员对性能问题进行分类至关重要。

图图12:HDX Insight

HDX Insight (7)L7、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX、HDX查看图 10，对应用程序层的可见性有助于管理员通过检测延迟来自应用程序而不是网络（例如，在服务器或后端过载的情况下）来诊断延迟。

L7阈。此功能与捕获第4层网络延迟形成鲜明对比,后者不需要HDX解析,但存在着端到端延迟视图不完整的主要缺陷。

HDX Insight、HDX Insight、HDX Insight、HDX Insight网关洞察力提供了用户的端点分析(EPA),身份验证,单点登录(SSO)和应用程序启动失败。

Gateway Insight。网关洞察力增强了管理员对任何类型的登录或应用程序启动失败问题进行故障排除的能力,还能查看:

• 启动的应用程序数量
• 会话总数和活动会话数
• 应用程序消耗的总字节数和带宽
• 应用程序的用户、会话、带宽和启动错误的详细信息
• 网关数
• 活动会话数
• 思杰网关(Citrix Gateway
• 与网关关联的所有用户的详细信息及其登录活动

图图13:HDX Insight L7

HDX

Citrix工作空间中文名称:中文名称:中国，中国，中国，中国。GSLB，陆基，陆基，陆基，陆基，陆基，陆基但是,对于多个Citrix网关,客户会问:“我们如何将用户发送到用户唯一数据或后端应用程序依赖关系所在的特定数据中心?”

Citrix网关。Citrix网关使用GSLB还会根据用户的位置将用户路由到最佳Citrix网关,并且该网关将连接到区域以实现完整的最佳网关路由。

HDX优化网关路由通过将身份验证网关与最佳启动网关分离,确保用户体验既简单又一致。这可确保用户始终从本地网关启动应用程序和桌面，从而确保在任何地方、任何设备上工作时都能获得更好的用户体验。

GSLB供电的区域首选项是一项与工作空间,店面和ADC设备集成的功能,可根据用户位置为用户提供对最优化的数据中心的访问权限。使用此功能,当HTTP请求到达Citrix网关设备时,将检查客户端IP地址,并使用真实的客户端IP地址创建转发到店面的数据中心首选项列表。

如果ADC配置为插入区域首选项标头,店面3.5或更高版本可以使用设备提供的信息对交付控制器列表重新排的序,然后连接到与客户端相同区域中的最佳交付控制器。店面为所选数据中心区域选择最佳网关VPN虚拟服务器,将此信息添加到具有相应的IP地址的ICA文件中,然后将其发送到客户端。然后,店面会尝试启动托管在首选数据中心的交付控制器上托管的应用程序,然后再尝试联系其他数据中心的

图释14:HDX Insight

定制可用性监控

与Citrix工作区一起部署的Citrix网关可确保高效交付应用使用Citrix网关,来自Citrix工作区应用程序的传入用户请求可以在服务器组中的多个店面节点之间进尽管其他一些解决方案使用简单的ICMP Ping或TCP端口监视器,Citrix网关对在店面和交付控制器服务器上运行的后端服务进行了深入的应用程

店面服务是通过探测在店面服务器上运行的Windows服务来监控的。Citrix服务监视器窗口服务没有其他服务依赖关系,可以监视和报告店面所依赖的以下关键服务的故障:

• W3SVC (IIS)
• WAS(Windows)
• CitrixCredentialWallet
• CitrixDefaultDomainService

Citrix网关还具有自定义交付控制器监视器,以确保在Citrix网关对资源进行负载平衡之前,交付控制器处于活动状态并监视器探测将验证用户的凭据并确认应用程序枚举以确认XML服务是否正常工作。这可以防止可能会将请求发送到无响应的服务器的黑洞情况。

摘要

在任何HDX代理解决方案中,Citrix网关与Citrix工作区的集成点最多。Citrix网关提供对Citrix虚拟应用程序和桌面的安全远程访问,并通过可见性和优化功能进行了增强,这些功能对确保最佳用户性Citrix ADC提供智能全局服务器负载平衡,可增强可用性和用户体验。以下功能增强了安全性和用户体验：

• (nFactor) (nFactor) (nFactor
• 上下文授权-根据用户、位置和设备属性限制应用程序和桌面的可用性
• Citrix HDX
• 端到端监控-确定影响用户绩效的延迟和分类问题的根源
• 自适应网络传输 — 动态响应不断变化的网络状况，提供卓越的用户体验
• 最佳路由 — 始终从本地网关启动应用程序和桌面，确保更好的用户体验
• 自定义可用性监视器——对店面和交付控制器服务器上运行的后端服务进行深度应用